Ransomware: Südwestfalen-IT teilt neue Infos zu Cyberangriff von Oktober

Nachdem es Ende Oktober 2023 zu einem folgenschweren Ransomwareangriff auf Systeme des IT-Dienstleisters Südwestfalen-IT (SIT) kam, hat das Unternehmen gestern einen Bericht veröffentlicht, in dem es den Tathergang sowie die Folgen des Angriffs näher erläutert. Der Cyberangriff hatte langanhaltende IT-Ausfälle in zahlreichen deutschen Stadt-, Kreis- und Gemeindeverwaltungen zur Folge. Die Angreifer forderten im Anschluss ein Lösegeld.

Verantwortlich war dem SIT-Bericht zufolge die Ransomwaregruppe Akira. Diese sei zunächst unter Ausnutzung einer Zero-Day-Schwachstelle über eine softwarebasierte VPN-Lösung in das Netzwerk des Dienstleisters eingedrungen. Eine Multifaktor-Authentifizierung sei für diesen Schritt nicht erforderlich gewesen. Wie die Angreifer an die erforderlichen Zugangsdaten kamen, ist wohl noch unklar. Vermutet wird eine Brute-Force-Attacke.

Im Anschluss sei es Akira unter Ausnutzung von Sicherheitslücken gelungen, sich Domain-Administrationsberechtigungen zu verschaffen. Die Aktivitäten hätten sich auf eine Windows-Domäne zur Verwaltung der zentralen Systeme und wichtigen Fachverfahren für sämtliche Kunden der Südwestfalen-IT beschränkt. Daten seien verschlüsselt und mit der Dateiendung .akira versehen worden.

Bisher keine Anzeichen für einen Datenabfluss

Hinweise auf einen Datenabfluss oder Datenverlust gebe es bisher nicht, betont die SIT. Für forensische Untersuchungen diesbezüglich seien BSI-zertifizierte Cybersicherheitsexperten beauftragt worden. Auch das Darkweb werde in diesem Zusammenhang kontinuierlich auf eine mögliche Datenveröffentlichung überwacht.

Derzeit ist der Dienstleister wohl dabei, von Akira verschlüsselte Daten aus bestehenden Backups wiederherzustellen und die ersten wesentlichen Fachverfahren wieder in den Normalbetrieb zu überführen. Abgeschlossen sei dieser Prozess voraussichtlich bis Ende des ersten Quartals 2024, heißt es in dem SIT-Bericht. Von Akira ausgenutzte Schwachstellen habe man inzwischen behoben.

Ein neuer Geschäftsführer soll den Vorfall aufarbeiten

Langfristig will die Südwestfalen-IT wesentliche Änderungen an der Systemarchitektur vornehmen. Damit wolle man das System insgesamt robuster gestalten, um derartige Vorfälle in Zukunft bestmöglich ausschließen zu können, erklärt das Unternehmen.

Die Verantwortung dafür soll der zukünftige SIT-Geschäftsführer Mirco Pinske tragen, der am 1. Februar seine Arbeit aufnimmt. Seine Aufgabe sei es, den gesamten Vorfall umfassend aufzuarbeiten sowie entsprechende Konsequenzen abzuleiten und umzusetzen.